DSB sjoflede IC4-togets softwareudvikling
more_vert
close

Få de daglige nyheder fra Version2 og Ingeniøren. Læs mere om nyhedsbrevene her.

close
Ved at tilmelde dig accepterer du vores Brugerbetingelser, og du accepterer, at Teknologiens Mediehus og IDA-gruppen lejlighedsvis kan kontakte dig om arrangementer, analyser, nyheder, job og tilbud m.m. via telefon og e-mail. I nyhedsbreve, e-mails fra Teknologiens Mediehus kan der forefindes markedsføring fra samarbejdspartnere.

DSB sjoflede IC4-togets softwareudvikling

Computersystemet i IC4-togene styrer alt fra åbning og lukning af togets døre til de alarmer, lokomotivføreren modtager på sit display. Alligevel bragte DSB ikke en gængs europæisk standard i spil i sine krav til, hvordan togproducenten Ansaldobreda skulle udvikle den software, der får alle togets enheder til at spille sammen.

Forklaringen fra DSB og Trafikstyrelsen lyder, at de i sin tid ikke vurderede, at computersystemet var sikkerhedskritisk.

Togets computersystemer er i dag med til at skabe store problemer i IC4-togene og er bl.a. blevet forbundet med de koblings- og bremseproblemer, de italienske tog oplever. Problemer, der måske kunne være undgået eller afhjulpet hurtigere, vurderer lektor i datalogi ved KU Erik Frøkjær:

»Det at følge en standard er en god kilde til at få rettet fejl,« siger han, og fortsætter:

»Fordi man ikke har gjort det, har man etableret en enormt sårbar vedligeholdsfunktion hos DSB, når DSB selv skal klare fremtidigt vedligehold. Man kommer til at spilde tid på at blive verdensmester i et system, ingen andre konkurrerer i. Det er dyrt og sårbart.«

Computersystemet i IC4-toget bruges blandt andet til at klassificere de alarmer, lokomotivføreren får vist - er der f.eks. brand i en undervogn, melder systemet om en alarm, som lokomotivføreren skal forholde sig til.

Almen praksis at følge standarden

Den europæiske standard har eksisteret siden slutningen af 1990'erne. Den beskriver i detaljer, hvordan software til tog- og signalsystemer skal udvikles for at mindske risikoen for fejl.

Standarden hedder i dag EN50128 og er fra 2001, men udspringer af den tidligere IEC61508-standard fra 1998.

Det er op til den enkelte togproducent, hvordan man vil opfylde forskellige landes myndighedskrav, og Trafikstyrelsen har aldrig stillet krav om, at DSB's tog fra Ansaldobreda skulle følge EN50128-standarden.

Alligevel er det ifølge styrelsen sådan, at langt de fleste togproducenter følger de europæiske standarder.

»De sidste 15 år har det været udbredt praksis, at man følger 50128-standarden, hvis ens elektronik indeholder software, men det gjorde man ikke med IC4,« siger svagstrømsingeniør og konsulent Joakim Böcher.

Han fortæller, at ideen med 50128-standarden er at have metoder for, hvordan man som togproducent undgår fejl i softwaren. Det gælder hele processen lige fra man får ideen, til man skal have løst en udfordring med software til den efterfølgende eftervisning af, at softwaren er sikker.

Standarden er opbygget, så den skærper kravene til softwareudviklingen afhængig af, hvor sikkerhedskritiske funktionerne er. Da software ikke kan testes 100 pct., indeholder standarden også metoder til at undgå systematiske fejl.

»Den tager sig af hele kæden, og det er faktisk en god standard,« siger Joakim Böcher.

Ifølge Det Norske Veritas er 'standarden mere eller mindre frivillig, men jernbanevirksomhederne angiver ofte, at standarden skal bruges i deres kravspecifikationer til leverandører'.

sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Denne artikel får det til at lyde som om at jo større dele af software i et tog der er lavet efter IEC61508 jo bedre.
IEC61508 er en standard der bruges til at sikre processen omkring sikkerheds funktioner i hele levetiden af et produkt hvori der indgår elektriske systemer og/eller software som en del af sikkerheden.
IEC61508 kan gøre produktet sikkert dvs. at det sikre mod tilskadekomst og større havari ift. de momenter der er med i risikovurderingen.
Men det gør det ikke nødvendigvis et produkt med en høj oppetid, idet det er lavet til at feje safe hvis der er uoverensstemmelser i systemet.

IEC61508 bør (skal) bruges til sikkerheds funktioner som bremser, døre, og systemer der forhindrer kollisioner.

Jeg ser ikke IEC61508 som værende effektiv til opgaver som at forhindre og analysere en alarm storm, samt forhindrer falske alarmer.

Måske vil et system der er designet efter IEC61508 generere flere alarmer da de status signaler der kunne bruges til at inhibit alarmer ikke lever op til SIL kravene.

  • 0
  • 0

Alligevel bragte DSB ikke et gængs europæisk standard i spil i sine krav til, hvordan togproducenten AnsaldoBreda skulle udvikle den software, der får alle togets enheder til at spille sammen

Standarden hedder i dag EN 50128 og er fra 2001

Husk nu at DSB lavede udbudsmaterialet i 1999.

  • 0
  • 0

FYI: for at folk ikke skal tro at 61508 er for tog så...

IEC61508
titel: Functional Safety of electrical/electronic/programmable electronic safety-related systems-

første udgave 1998-12

Fin europæisk standard - hver anden side på engelske, hveranden på fransk. (Den udgave jeg har)

snip fra TOC af part 4.
2 Normative references ................................................................................................ 17
3 Definitions and abbreviations..................................................................................... 19
3.1 Safety terms .................................................................................................... 19
3.2 Equipment and devices .................................................................................... 21
3.3 Systems: general aspects ................................................................................ 25
3.4 Systems: safety-related aspects ....................................................................... 29
3.5 Safety functions and safety integrity ................................................................. 31
3.6 Fault, failure and error...................................................................................... 37
3.7 Lifecycle activities ............................................................................................ 41
3.8 Confirmation of safety measures ...................................................................... 43

den er ikk så ring endda :-)

  • 0
  • 0

Hvad er forskellen på

  1. IEC61508-standard fra 1998 og EN50128-standard fra 2001?
  2. Hvad er den nyeste standard på området (det er formentlig ikke en standard fra 2001)?
  3. Er det ikke meningen, at lave den nyeste standard på området?

Des mere togsættene er oppe til den nyeste stadard, des længere kan de fortage "drift", uden at skulle have reperet/udskiftet dele. Både håndværkerne (de skal kun være det nyeste der er på området) og der bliver kun "en kasse" man skal tage delene fra.

mvh

Jens Lindhard

  • 0
  • 0

FYI

Titel (deutsch): DIN EN 50128; VDE 0831-128:2012-03:201
Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - Software für Eisenbahnsteuerungs- und Überwachungssysteme; Deutsche Fassung EN 50128:2011

Titel (englisch): Railway applications - Communication, signalling and processing systems - Software for railway control and protection systems; German version EN 50128:2011

Dokumentart: Norm

Ausgabedatum: 2012-03

Einführungsbeitrag:

Diese Europäische Norm beschreibt eine Reihe von Anforderungen, denen die Entwicklung, Bereitstellung und Wartung von sicherheitsrelevanter Software für Eisenbahnsteuerungs- und Überwachungsanwendungen entsprechen muss. Es werden Anforderungen hinsichtlich der Organisationsstruktur, der Beziehung zwischen Organisationen und der Aufteilung von Verantwortlichkeiten derjenigen festgelegt, die in Entwicklungs-, Bereitstellungs- und Wartungsmaßnahmen eingebunden sind. Gleichermaßen werden in dieser Europäischen Norm die Kriterien für die Qualifikation und für die Fachkenntnis des Personals angegeben. Das Grundkonzept dieser Europäischen Norm basiert auf Software-Sicherheitsanforderungsstufen. Diese Europäische Norm behandelt fünf Software-Sicherheitsanforderungsstufen, von denen 0 die niedrigste und 4 die höchste Stufe ist. Je größer das Risiko ist, das von einem Softwarefehler ausgeht, desto höher ist die Software-Sicherheitsanforderungsstufe. Zuständig ist das UK 351.3 "Bahn-Signalanlagen" der DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik im DIN und VDE.

Sprachen: Deutsch

Ersatz für:DIN EN 50128 Berichtigung 1; VDE 0831-128 Berichtigung 1:2010-09:2010-09
DIN EN 50128; VDE 0831-128:2001-11:2001-11

Preis :132,50 EUR

Link for Norm Soegning

mvh

bm

  • 0
  • 0

Kære Casper

Tak for snakken i sidste uge omkring software krav og DSB håndtering heraf. Jeg kan nu se i den nyligt udkomne artikel (Det tog DSB....), at der er et par fejl og som jeg nævnte under samtalen ville jeg gerne have kunnet bidrage til at rydde disse af vejen inden du satte artiklen i. Jeg vil blot her kommentere de direkte fejl der er i artiklen, jeg kommenterer således ikke den samlede artikels vinkling eller korrekthed i form af hvorvidt der er dokumentation for de påstande der fremføres.

Citat artikel
Lars Slott Jensen forklarer, at DSB ikke tidligere i forløbet stillede krav (til software, red)
Citat slut

Dette har jeg selvfølgelig ikke forklaret, al den stund at det ikke er korrekt. Som det også fremgår senere i samme artikel har jeg tværtimod forklaret det modsatte, jeg citerer din artikel (og mig selv)

Citat
»I vores kontrakt fra 2000 har vi tonsvis af normer og standarder, som de (Ansaldobreda, red.) skal følge. Også nogle som er rettet mod softwaren,« siger programchefen, der blev ansat hos DSB i december 2009.
Citat slut

I dette citat fremføres at jeg er ansat i DSB 2009. Dette må være for din egen regning, jeg har 20 års erfaring med anskaffelse og udvikling af jernbanemateriel og er ikke blevet ansat i DSB i 2009.

Afslutningsvis vil jeg sige at DSB IC4 Programmet arbejder på at opgradere til EN 50128 version 2011 til den videre software udvikling.

Mvh
Lars Slott Jensen
IC4 Teknisk Programchef

  • 0
  • 0

Citat
»I vores kontrakt fra 2000 har vi tonsvis af normer og standarder, som de (Ansaldobreda, red.) skal følge. Også nogle som er rettet mod softwaren,«

Hvis du er så utilfreds med artiklen, er den bedste måde at tilbagevise den på at du offentliggør den liste af normer som DSB har gjort til krav for softwaren.

Må vi se den liste, eller er "også nogle" så meget som DSB's spin-kontrol vil tillade dig at røbe ?

  • 0
  • 0

Ing. skriver at DSB ikke stillede krav til software, og at forklaring er at DSB ikke vurderede at computeren var et sikkerhedskritisk element i designet.

Lars Slott Jensen svarer at det er ukorrekt fordi han har sagt at der i en kontrakt fra 2000 er mange krav og nogle af dem er til software.

Dette argument er ugyldigt fordi kontrakten der skrives med Ansaldobreda spits er fra d. 5 nov. 2002 og ikke "fra år 2000," som Lars hævder.
Her er ing.dk's artikel fra dagen - http://ing.dk/artikel/44496-kontrakt-i-hus...
Ordren er fra 2000, men kontrakten skrives først 2002

Måske er Lars og resten af DSB i forvirringen kommet til at forveksle udbudssvaret med en egentlig kontrakt - det kan naturligvis forklare hvorfor de dovne og uduelige Italienere er sluppet af sted med at suge millioner ud af skattekassen.

Lars' svar her er indicer på at DSB skjuler sandheden og systematisk undertrykker den politiske debat.

DSB er for længst leverandør af disse "tog" og skal derfor behandles som sådan. Deres position er suspekt og vore politikere bør snarest få lukket kassen så politiet kan komme i gang med efterforskning.

Her er en video af hvordan det kan komme til at se ud - http://www.youtube.com/watch?v=qLpPAz0tz98

Lars skriver også, at det er forkert at han skulle være ansat i DSB i 2009. Han påpeger at han skam har mere erfaring, men korrigerer sådan set ikke fejlen. Det ville være bedst, hvis han havde leveret den korrigerede information.

Det er i øvrigt klassisk post-fail, at slutte sin argumentation af med det mindst væsentlige. Det vil være en større fejl at artiklens vinkling fejlede fordi DSB skam havde stillet krav som Lars påstår. Men da denne påstand ikke er korrekt fordi kontrakten er fra 2002, og vi i øvrigt laver om at anvende en standard frem for "tonsvis af krav" så tror jeg vi kan sige, at Lars' argumenter FAILER totalt og bliver til argumenter for det modsatte - at DSB netop ikke stillede sytematiske krav men opstillede "tonvis" af deres egne krav. Krav som vi nu kan se har været forgæves.

Lars slutter af med at skrive at DSB skam "arbejder på at opgradere til EN 50128 version 2011 til den videre software udvikling." Hvortil vi der ikke vil betale så meget som én krone mere kan sige "too little, too late buddy."

Du, Lars, bør sige din stilling op og finde et andet sted at bruge dine tyve års erfaring. Du kan umuligt vinde fordi dette ikke længere handler om det du brænder for - at bygge tog. Det handler om at finde og straffe de ansvarlige så hårdt og så hensynsløst som muligt og dine udtalelser hjælper ikke din position.

DSB sender den ene ansatte efter den anden ud for at fordumme os med ugyldige argumenter og falsk information. De skal og bør behandles som et firma der har en interesse i at få IC4 ud at køre for enhver pris. De politikere der beordrede DSB til at blive leverandører bør betale regningen. Deres partier bør få et girokort som de får det i lign. sager om private indkøb.

Jeg er for den totalt kompromisløse kurs i denne sag. Jeg har læst nok løgn og ventet ti år på et tog! I er fyret, fat det nu.

  • 0
  • 0

Det er jo ren poesi.
Lyder som om statslige ansatte ikke har nogen form for selvkritisk holdning.
Er det et produkt af styret eller deres uddannelse?

Mvh

  • 0
  • 0

De kan vel både have sjæl og samvittighed, men resultaterne taler for sig selv. Det er min pointe. Vi kan, og bør, tale om hvad vi mon kan lære af fejl, men ikke for at hjælpe "IC4 Projektet."

Min holdning er, at vi skal have de tog vi besluttede at købe. Dem har vi ikke fået og i stedet riskerer vi (som samfund) at lade leverandøren DSB/Ansaldo slæbe os rundt i manegen igen og igen.

Derfor er de mennesker allerede fyret. De tror måske at IC4 kan komme afsted og de mener måske at vi nærmest skal have dem til at virke nu hvor vi har de tomme skaller stående.

Jeg foreslår at man lukker alt, fyrer alle, skrotter hardwaren, sender regningen til forligspartierne og finder en løsningen uden om IC4.

Det vil naturligvis betyde "tab" men hvad for tab taler vi om... Skal vi undvære noget vi mangler nu. Nej. Kommer vi til at mangle tog, ja det gør vi. Og hvorfor. Ikke fordi vi har droppet IC4, men fordi IC4 aldrig blev leveret af DSB/Ansaldo.

Da DSB blev tvunget af politikerne til at overtage leverandør rollen skete der noget uhørt. Alt skal efterforskes og de politisk ansvarlige forligspartier bør betale regningen. Partier er kommercielle virksomheder der søger indflydelse. De indsamler penge og bruger disse til at virkeliggøre deres produkt (påstår de ofte.)

Mit standpunkt er, at forligspartierne har valgt en forkert teknisk løsning og tilsidesat advarsler om deres nye partner. Politikere taler ofte om at stå til ansvar. De tror det betyder at så stemmer vi bare ikke på dem, men det er måske på tide at vi samler disse organisationer under ét og retsforfølger dem på lige fod med andre typer virksomhed.

De har simpelthen ikke gjort deres arbejde og beviset står nede på bane her i Århus og rådner op.

De ansatte i DSB bør overveje om de vil være dem der ryger i retten. For min vurdering er, at vi enten slagter dem, eller slagter politikerne. Og da politikere normalt er som glatte øl er det logisk at det bliver DSB's folk der får øksen.

Derfor skrev jeg "I er fyret, fat det nu!"

Atkinsrapporten er reelt et forberedende dokument. Dens forfattere undlader at interviewe dem de bør og konkluderer "ingen fejl," på kørecomputeren.

Faktum er, at IC4 togene står her i Århus. Ti år efter et EU udbud gav ordren til et firma som ikke har leveret ét eneste køredygtigt tog som kan leve op til de krav der stilles.

En almindelig togkunde kan stadig ikke køre i et IC4 der sammenkobles automatisk (for at spare personale.) Derfor er det den almindelige kundes perspektiv at nogen/noget har fejlet.
Og da politiske partier reelt kun ser på hvad den "almindelige" borger mener, så er det nærliggende at læse alt hvad der kommer fra dem som forsøg på at (gen)vinde vælgernes tillid. Vi er altså ude over rent tekniske argumenter og i en verden af politisk spin. Dette kan blandt andet forklare hvorfor atkinsrapporten's udgivelse blev bremset, sat i bero, med henvisning til at der var valg. Forligspartierne havde altså et motiv for at sikre at IC4-rapporten ikke blev en del valgkampen.

Så svaret må være, at statslige ansatte i almindelighed har en selvkritisk holdning, men at deres respektive organisationer forhindrer dem i at anvende den evne i deres arbejde.

  • 0
  • 0

Det lærte jeg af en tidligere kollega på DISA. Her udviklede vi kode til styring af formemaskiner.
Når vi løb ind i en fejl - så var hans prompte svar:
"Det er ikke en fejl - det er en uhensigsmæssighed"

Siden har jeg mødt mange andre uhensigsmæssigheder - men det holder jeg for mig selv.
Om en norm eller standard så løser alle softwareudviklingsproblemer kan jeg godt være i tvivl om.

  • 0
  • 0
Bidrag med din viden – log ind og deltag i debatten